狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
アプリで「ログインしっぱなし」はどのように実現されているか? - Qiita
このツイートを見て、「アプリで再ログインを頻繁要求されるってユーザビリティ良くないな。」と思ったのですが、普段裏側の仕組みは意識していなかったりテックリードの方に任せきりだったりしていたので、これを機に調べてみました。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月8日 この記事は「アプリでログインしっぱなしは、どのように実現されるの?」という疑問と調べた結果を共有するために書いていきます。 間違いや「もっとこんな仕組みが使われてるよ!」等のツッコミがあれば、どしどし貰えると助かります! 疑問1. アクセストークンという仕組みとは? 「なぜアクセストークンという概念が必要なのか?」 モバイルアプリでユーザー認証をし
7pay「組織的攻撃の可能性」専用パスワードでも被害 | NHKニュース
スマホ決済サービスの「7pay」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「7pay」の情報が何らかの形で抜き出されていた可能性があると指摘しています。 こうした中、クレジットカードから30万円分をチャージをされ、不正に利用された東京都内の会社員の男性がNHKの取材に応じました。 「7pay」のアプリでは、事前に登録したクレジットカードからチャージする際には、通常のパスワードのほかに別のパスワードが必要となります。 男性はそれぞれ16桁のパスワードを設定していましたが、いずれもほかのサービスには一切使っていない専用のものだったということです。また、スマホやパソコンには記録せず、手帳に書いて保管していたというこ
ネットから店舗に人が流れ始めた--セブン&アイに見る新たな売り方
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「インターネットを使う若年層が店舗に来るようになってきた」 セブン&アイ・ホールディングスの取締役 執行役員で最高情報責任者(CIO)の鈴木康弘氏は話す。11月1日にグランドオープンしたグループ横断通販サイト「omni7」の初動効果だ。イトーヨーカ堂やそごうで「若い人を中心に10~20%来客が増えた」。 有名ブランドであるジャン=ポール・ゴルチエの商品などをセブン&アイ独自の手法で、比較的低価格なラインで販売。SNSで「ありえない」「まあ見てみるか」「なかなかいいかも」といった順番で口コミが広がり、実店舗への来店が増えているといったストーリーを紹介してみせた。 グループには、セブン-イレブン、イトーヨーカ堂、そごう・西武、デニーズ、ロフ
キーワードロガーとして機能するオメガ社のキーボードSDKとその採用アプリ|Guest
アドテク企業・オメガ株式会社のカスタムキーボード/キーボードSDKを採用するアプリ(ANYTYPE、moppyキーボード、USAVICHキーボード、瞬間日記、PUSH!、PicoSweet)の通信内容をパケットキャプチャにより解析・考察する。 結論としては、予め指定された特定のキーワードを入力した事実がオメガ社のサーバに随時送信されていた。キーロガーならぬキーワードロガーとでも呼ぶべきものだろう。これにより、オメガ社はユーザーの使用アプリ名称と入力内容の一部または全部(個人情報、機密情報、機微情報を含む)を知得できる状態にあった。 経緯発端は高木浩光氏へのタレコミである。 なんかタレコミ来た。 アプリ開発の営業メールが出回ってるそうな。 どうなんだこれは……https://t.co/gsDV7Plc5D — Hiromitsu Takagi (@HiromitsuTakagi) June
「マンガワン」データ不正改変容疑 ヤフー社員を書類送検へ - 芸能社会 - SANSPO.COM(サンスポ)
小学館のスマートフォン向け漫画アプリ「マンガワン」のシステムデータを不正に改変し、制限を超えて閲覧できる時間を16万時間超にまで引き延ばしたとして、警視庁が12日にも私電磁的記録不正作出・同供用の疑いで、東京都内に住むIT大手ヤフーの男性社員(25)を書類送検する方針を固めたことが11日、捜査関係者への取材で分かった。 小学館は事件当時、アプリ向けに配信する漫画について、毎日一定時間は無料で閲覧でき、さらに代金を支払えば制限を超えて読むことができる仕様にしていた。 捜査関係者らによると、男性はいったんスマホにダウンロードしたアプリのデータをパソコンに移し、改変していたとみられる。不正に閲覧できるようにした時間を代金に換算すると7000万円相当に上っていたほか、手口を自身のブログに書き込み、インターネット上で公開していたという。 書類送検容疑は2016年3月10日ごろ、アプリのデータを改変し
Facebook、Instagramのパスワード平文保存件数を数万人から数百万人に修正
Facebookが3月に発表したサービスのパスワード平文保存の件数を“上方修正”した。当初「数万件」としていたInstagramのパスワードは「数百万件」だった。影響を受けた追加の数百万人にも通知するとしている。 米Facebookは4月18日(現地時間)、3月に公開したFacebook、Instagram、Facebook Liteの数億人分のパスワードを可読な状態(平文)で社内に保存していたという発表文を更新し、当初は「数万人分」としていたInstagramのパスワードの数を「数百万人分」に修正した。 3月の発表文は、米セキュリティ情報サイトKrebs on SecurityがFacebookの匿名の幹部からの情報として2億~6億人のパスワードが既読状態で保存されていたことを報じた後に公開された。 Krebs on Securityによると、パスワードのプレーンテキストでの保存は201
IIJのセキュリティに関する取り組み | インターネットイニシアティブ(IIJ)
DNSフィルタリングによるマルウェア対策について 改訂:2023年4月11日 インターネットは電気や水道のような社会インフラになりつつあり、IoTの浸透などにより接続機器が増えトラフィック量も大幅に増加しています。その一方で、既存のアンチウイルスなどの対策が難しいルータや監視カメラなどのIoT機器の脆弱性を悪用した大規模なDDoS攻撃の事件も増えてきています。また、ユーザの情報搾取するようなマルウェアも数多く確認されており悪意ある行為も増加傾向にあります。 この様な背景を受けて、総務省による「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」を通じて、DNSによるC&Cサーバ(※1)の遮断など、電気通信事業者におけるサイバー攻撃への適正な対処に関して整理がされました。また、2018年には、電気通信事業者同士で情報共有、マルウェア感染機器の遮断やマルウェア感染の恐れのある
Notepad++ Notepad++ 7.6.4 released
06 Mar 2019 14:33:00 When you install Notepad++ version 7.6.4, You might notice there's no more blue-trusted UAC popup. Here's the explanation for the reason that we remove code signing from Notepad++ : 3 years ago DigiCert donated a 3 years code signing certificate to the project, and every good thing has its end, the certificate has been expired since the beginning of this year. I was trying to
睡蓮花 湘南乃風 歌詞情報 - うたまっぷ 歌詞無料検索
睡蓮の花のように 朝日に向け今日も歌う 睡蓮の花のように この思い水面に光る 花びらが流した涙 貴方は笑えていますか? 上がりまくる季節が来た ヤバくなれるのは誰… 俺!俺! 俺!俺!Ole!Ole! Ah 真夏の Jamboree レゲエ<砂浜<<Big Wave!! Ah 悪ノリの Heartbeat めっちゃゴリゴリ Welcome Weekend Ah 灼熱の Jamboree 暴れまくってイイぜ!! Ah 冷めないで Summer Dream 「濡れたまんまでイッちゃって!!!」 夏だぜ (Yeah!!) 夏風 (Fuu!!) 夏晴れ (Yeah!!) 夏バテ (Boo↓↓) またコイツで決まりだ Summer Again 青く晴れた日を 笑う太陽 溢れる希望 むすぶ靴ひもに期待のせて 風を連れて 夢の種植えるため 今走り出そう 黄色いバス越え江ノ島方面 スゲエ混み合ってる ひま
bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
PayPayはDarkWebに捕まった - Fox on Security
PayPayの100億円第2弾キャンペーンが始まっていますが、前回のキャンペーンに関連にて気になる海外記事が出ていました。DeepWeb&DarkWebを調査するGemini Advisoryによると2018年11月~12月にDarkWebに追加された日本のクレジットカード情報がPayPayに関係すると発表しました。 geminiadvisory.io Gemini Advisoryは、2018年の11月と12月にダークウェブに追加された日本の支払い記録におけるパターン外の急上昇を確認しました。この新たに追加されたレコードの急増は、日本発行のカードの需要の増加と並行しているように見えました。Gemini Advisoryは、この期間中に、多数の日本のカード会員が、新しくリリースされた日本のPayPayというペイメントアプリに関するさまざまな苦情を発表したことを明らかにしました。 サイバー犯
The rise of multivector DDoS attacks
It's been a while since we last wrote about Layer 3/4 DDoS attacks on this blog. This is a good news - we've been quietly handling the daily onslaught of DDoS attacks. Since our last write-up, a handful of interesting L3/4 attacks have happened. Let's review them. Gigantic SYN In April, John tweeted about a gigantic 942Gbps SYN flood: It was a notable event for a couple of reasons. First, it was r
2018/11/27に判明したnpmパッケージ乗っ取りについて - Qiita
概要 event-streamというnpmパッケージに攻撃コードが混入されました。攻撃コードはflatmap-streamというパッケージに含まれており、event-stream パッケージはこの flatmap-stream への依存性を追加される形で間接的に攻撃コードの実行を行う状態になっていました。 攻撃コードが分析された結果、copayというBitcoinウォレットからクレデンシャルを盗むことを目的とされていたことが確認されています。 参考リンク 調査が行われているGitHub Issue HackerNewsスレッド Details about the event-stream incident - The npm Blog 影響をうけたパッケージ event-stream@3.3.6 flatmap-stream@0.1.1 flatmap-stream@0.1.1 パッケージ
ウェブ・セキュリティ試験(通称:徳丸試験)を2019年12月より開始 | PHP技術者認定機構
一般社団法人BOSS-CON JAPAN(代表理事:吉政忠志、所在:東京都世田谷区、以下「BOSS-CON JAPAN」)は、BOSS-CON JAPAN内組織であるPHP技術者認定機構が国内Webセキュリティ第一人者である徳丸浩氏が代表を務めるEGセキュアソリューションズ株式会社の支援を受け、ウェブ・セキュリティ試験(通称:徳丸試験)を2019年12月より開始することを発表いたしました。なお、本試験問題はEGセキュアソリューションズ株式会社が作成いたします。 ■ウェブ・セキュリティ試験実施の背景 全世界で稼働しているWebサイトは5億サイトになりました。企業にとっても重要な位置づけになるため、サイバー攻撃の対象となるケースも増え、攻撃手法も複雑かつ巧妙になってきています。よってウェブ・セキュリティに対する対策は以前よりまして緊密且つ迅速に施さなければなりません。ユーザ、開発者に対してより
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月) | ScanNetSecurity
ファーウェイのスマホ、ロック画面に広告を表示し世界中で騒動に。同社は謝罪し取り下げ【やじうまWatch】
TechCrunch
オーストラリアの「反暗号化法」が、あなたのプライヴァシーにも影響する
nQUIC: Noise-Based QUIC Packet Protection